Almacén de credenciales de Windows

1 marzo 2016
Josep Ma Solanes 15

Esta palabra tan extraña llamada credencial no deja de ser nada más que un nombre de usuario con una contraseña asociada, un certificado de usuario o de dispositivo o token. La credendial nos identifica en el sistema informático para poder acceder a un recurso de red, una página Web, una aplicación, etc…

En un entorno empresarial, normalmente, iniciando la sesión en uno de los equipos de la red con el nombre de usuario y contraseña que nos han facilitado para identificarnos (nuestra credencial), nos da acceso a todos los recursos de la red a los que tenemos permiso: los servidores de archivos, la intranet, la aplicación de gestión empresarial, la conexión a Internet, etc… sin necesidad de preguntarnos a cada momento quien somos (volver a introducir las credenciales). Qué pasa cuando no disponemos de un equipo integrado a una red empresarial (dominio de Active Directory), como puede ser el ordenador de casa; o tenemos que acceder a recursos externos, como otro ordenador en la red de casa o un recurso externo en la red empresarial. Por ejemplo un técnico que viaja a diferentes clientes, donde cada cliente tiene su dominio de seguridad. Cuando intenta conectarse a los recursos de la otra red, cada vez se le pide un nombre de usuario y contraseña válido para aquella red.

O creamos el mismo usuario y contraseña en todas partes, cosa que es un agujero de seguridad inmenso. O bien, establecemos unas credenciales diferentes en cada sitio y las guardamos en nuestro almacén de credenciales.   Por lo tanto, el almacén de credenciales permite guardar las diferentes credenciales de los diferentes recursos externos para que el sistema las utilice de forma transparente, sin pedírnoslas cada vez, cuando las necesitamos. A partir de Microsoft Windows 8 en este almacén de credenciales también se pueden guardar las de algunos tipos de páginas Web a las que se accede mediante Microsoft Edge o Internet Explorer. Como que no todas las webs lo permiten, depende de la programación de cada sitio, mejor os recomiendo utilizar un gestor de contraseñas tipo KeePass o 1Password.

 

¡Ojo con los bloqueos de cuentas para tenerlas guardadas en el almacén de credenciales!

Sobre todo cuando se trabaja con sistemas que bloquean las cuentas después de una serie de intentos fallidos, como pueden ser los dominios empresariales de Active Directory. Si la contraseña se ha cambiado o ha caducado, sin haber modificado las credenciales del almacén, cuando el equipo intenta acceder al recurso por red, se valida con las credenciales guardadas en el almacén. Si estas ya no son válidas, el sistema le deniega el acceso una y otra vez hasta que bloquea la cuenta para evitar más intentos fallidos.

Es uno de los puntos que todo administrador de sistemas tiene que revisar y controlar cuando tiene bloqueos constantes de una cuenta de usuario.

Acceder al Administrador de Credenciales de Windows

Desde la pantalla inicial, botón derecho del ratón sobre el botón de Inicio y hacer clic en Panel de control.

credencials-de-windows-01

Dependiendo de la vista que tengamos por defecto podremos ver los iconos del panel de control. Si no los vemos, en la parte superior derecha, hacer clic en ver por y seleccionar Iconos pequeños. Hacer clic en Administrador de credenciales.

credencials-de-windows-02

Se inicia la aplicación y lo único que vemos son dos grupos diferentes:

  • Credenciales Web. Disponible a partir de la versión de Microsoft Windows 8. En este apartado se guardan las cuentas de usuario y contraseña de páginas Web a las que se accede mediante el navegador Edge o Internet Explorer. A parte de visualizar las credenciales almacenadas o borrarlas del almacén, poco más podemos hacer en este apartado.
  • Credenciales de Windows. Se guardan las cuentas de usuario y contraseña, certificados y otros, de los accesos a otros equipos o recursos externos a nuestro equipo. Es la parte interesante a la que está dedicada esta entrada.

credencials-de-windows-03

 

Credenciales de Windows

Es la parte donde se almacenan las credenciales externas que guardamos en nuestro sistema. Por ejemplo, cuando accedemos a un recurso externo de la red y indicamos que guarde el usuario y contraseña para no volverlo a pedir cada vez que se utiliza el recurso se guarda aquí dentro. Por lo tanto, es un punto importante a tener controlado, veámoslo con un ejemplo. Se intenta acceder a un equipo externo al ordenador en el que no me coincide el nombre de usuario y la contraseña. El sistema pide las credenciales para acceder a este recurso, dando la posibilidad de guardarlas. Introduzco las correctas y hago clic en el checkbox de guardar.

credencials-de-windows-04

Yendo al Administrador de Credenciales, en el apartado de Credenciales de Windows, se ha añadido al listado el nombre del equipo externo.

credencials-de-windows-05

Haciendo clic sobre el recurso, en la foto el equipo que se llama Jarvis, se visualiza el destino, el nombre de usuario y la posibilidad de editar la contraseña guardada o borrarla del almacén. Así de sencillo.

credencials-de-windows-06

Es posible añadir las credenciales manualmente, sin tener que esperar a acceder al equipo en cuestión para marcar recordar, por ejemplo, para indicar las credenciales de acceso a todo un dominio de seguridad. Para hacerlo, sólo hay que hacer clic en la opción Añadir de cada apartado correspondiente de credenciales (de Windows, certificado o genérica), dependiendo de la necesidad.

credencials-de-windows-07

Indicar el nombre del recurso externo, ya sea la dirección IP (192.168.0.1), el nombre del equipo (servidor) con el que se accede a él o el dominio entero con el asterisco (*.nombredeldominio) para incluir todos los equipos que lleven la cola. Escribir el nombre de usuario y la contraseña correcta a utilizar. Hacer clic en el botón Aceptar.

credencials-de-windows-08

 

¿Están seguras estas credenciales?

Es la pregunta del millón y la respuesta es siempre la misma: No. No hay nada seguro al 100% en este mundo. Aunque cojas un ordenador, lo desconectes de todas las redes existentes y por existir, lo pongas dentro de una caja fuerte y la entierres a 30 metros bajo tierra, etc… Cosa que tampoco he entendido nunca si su uso sería demasiado práctico, se podría llegar a acceder. Mirad el caso del virus Flame dirigido a equipos muy específicos (cetrifugadores nucleares) desconectados de cualquier red y que los consiguieron infectar.

Ahora bien, si la pregunta es: ¿Me puedo fiar de guardar las credenciales en este almacén? La respuesta es Si con matices. Sí, para los accesos transparentes a diferentes recursos de las redes internas (no recursos que están en Internet), con las que tengo que estar físicamente conectado para acceder y siempre y cuando tenga el sistema de control de cuentas de usuario de Windows (UAC – User Account Control) activado, para saber cuando una aplicación fuera del sistema operativo intenta acceder a este almacén y así poderlo bloquear en caso que no haya sido yo quien lo ha pedido.

Lo podéis comprobar yendo al Panel de control > Cuentas de Usuario > Cambiar la configuración del Control de cuentas de Usuario.

credencials-de-windows-09

El Control de Cuentas de Usuario puede llegar a ser un poco molesto al principio, pero te llegas a acostumbrar y os salva de estos pequeños detalles que pueden acabar con lamentaciones muy grandes.

El almacén de credenciales está cifrado, es decir, que de forma normal no se ve su contenido, pero eso no quiere decir que se pueda ver. De hecho, las aplicaciones y el sistema operativo necesitan poder acceder y verlas de forma clara. Existen aplicaciones externas al sistema como Network Password Recovery que son capaces de leer y enseñar en claro las contraseñas guardadas en el almacén. Y sí, para acceder al almacén con esta aplicación y el control de cuentas de usuario habilitado, antes pide permiso para hacerlo, dependiendo de nuestra respuesta tendrá acceso o no. En la foto podéis ver lo simple y rápido de ver las cuentas y contraseñas con esta aplicación, el recurso jarvis pertenece a un dominio y se accede con el usuario Usuariodecasa que tiene como contraseña 1234.

credencials-de-windows-10

Como resumen, no guardéis contraseñas muy sensibles en este almacén, como ahora las bancarias, de la misma forma que no lo haréis en ningún navegador Web (Firefox, Chrome, Opera, etc…). Como he comentado anteriormente, aunque tampoco estaréis exentos al 100%, pero sí un poco más seguros, utilizad un gestor de contraseñas (KeePass, 1Password…).

Para los recursos de redes internas, como que es necesario tener acceso físico, fuera del acceso libre de Internet, sí que podéis utilizar este almacén siempre que lo hagáis en equipos controlados por vosotros mismos. Tampoco se trata de ir esparciendo las contraseñas por todos los equipos de la red.

 

¿Donde está el almacén que guarda nuestras credenciales?

Depende de si el equipo y el usuario pertenece a una red particular o empresarial (se encuentra dentro de un dominio de seguridad):

  • Si la cuenta de usuario es de un dominio, red empresarial, como que es posible que el usuario pueda cambiar de equipo (perfiles móviles), el almacén de credenciales se encuentra dentro del apartado móvil del perfil del usuario (Appdata\Local), en la ruta: %appdata%\Microsoft\Vault.
  • Si la cuenta de usuario es local, como el caso de una particular, el almacén de credenciales se encuentra dentro del perfil local del usuario (Appdata\Roaming), en la ruta: %localappdata%\Microsoft\Vault.

Si escribimos la ruta anterior, según corresponda, al Explorador de Windows o en el comando ejecutar de Windows (combinación de teclas Windows +R),

credencials-de-windows-11

Aparece la carpeta con los diferentes archivos que conforman el almacén de credenciales.

credencials-de-windows-12

Es interesante saber donde paran estos archivos, pero recordad que están cifrados. No sirve demasiado copiar esta carpeta en otro ordenador para ver o recuperar su contenido.

 

Copia de seguridad del almacén

Los archivos no se pueden copiar tal cual, pero si se puede hacer una copìa de seguridad del almacén para recuperarlo en el mismo o en otro ordenador. De hecho, si se quieren conservar las cuentas con las contraseñas de Windows es muy recomendable hacer esta copia de vez en cuando. Las credenciales de las Webs no entran dentro de esta copia de seguridad y por lo tanto, no se podrán recuperar.

Para hacer la copia de seguridad, desde el administrador de credenciales, en el apartado Credenciales de Windows. Hacer clic en Copia de seguridad de credenciales.

credencials-de-windows-13

Hacer clic en el botón Examinar para indicar la ubicación y el nombre del archivo que contendrá la copia de seguridad de las credenciales de Windows. Hacer clic en el botón Siguiente para continuar.

credencials-de-windows-14

Se advierte que para hacer la copia de seguridad, se tiene que hacer en un entorno seguro que requiere validarse. Pulsar la combinación de teclas CONTROL ALT y SUPRIMIR a la vez.

credencials-de-windows-15

Escribir una contraseña para el archivo de la copia de seguridad. Hay que repetirla para asegurar que se ha introducido correctamente. Hacer clic en el botón Siguiente para continuar.

credencials-de-windows-16

Se informa que se ha hecho correctamente la copia de seguridad. Hacer clic en el botón Finalizar.

 

credencials-de-windows-17

Recuperar el almacén de credenciales de Windows

Volviendo al administrador de Credenciales, en el apartado de Credenciales de Windows, hacer clic en Recuperar credenciales.

credencials-de-windows-18

Indicar el archivo con la copia de seguridad de las credenciales de Windows. Hacer clic en el botón Siguiente.

credencials-de-windows-19

Se informa que la recuperación tiene que ser en un entorno seguro, hay que pulsar la combinación de teclas CONTROL ALT y SUPRIMIR a la vez.

credencials-de-windows-20

Introducir la contraseña del archivo de copia de seguridad de las credenciales de Windows y hacer clic en el botón Siguiente.

credencials-de-windows-21

Se informa que se debe recuperar el almacén. Hacer clic en el botón Finalizar.

credencials-de-windows-22

De entrada no se ve ninguna modificación, pero si hacemos clic sobre Credenciales de Windows para refrescar el listado aparecen las credenciales que se han recuperado de la copia de seguridad.

La recuperación es total, es decir, se recuperan las credenciales tal como estaban en la copia de seguridad. Si en el almacén hay una credencial que no existe en la copia de seguridad, cuando esta se recupera se pierden.

¿Te ha gustado el artículo? Lo puedes compartir en las redes sociales. También puedes dejar tu opinión, comentario o sugerencia. ¡Gracias!

Similar Posts by The Author:

 

15 comentaris per a
“Almacén de credenciales de Windows”

    1. No. No tienen que borrarse las credenciales, es más, si tienes perfil móvil te deben de seguir donde vayas. No estarás iniciando sesión con un perfil temporal o el administrador ha bloqueado dicha característica. Cuéntame un poco más por favor.

       
  1. A mi me pasa exactamente lo mismo… Se borra las credenciales como si no se guardara. Y la cuenta tiene permisos de administrador.

     
  2. Yo tengo el mismo problema, ya revise mis credenciales y aparece guardada pero a la hora de reiniciar la pc me la pide nuevamente la contraseña del otro equipo…

     
  3. Una explicación muy clara y que profundiza en el tema de las credenciales. El problema que me ocurre es que el navegador (explorer en entorno corporativo) no me pregunta si quiero guardar la contraseña para un sitio determinado con lo que no dispongo de ella en el almacen de credenciales web. He probado a borrar la cache, historial y tampoco. Y como no se puede introducir de forma manual…
    ¿Que puedo hacer?
    Muchas gracias

     
    1. Hola Avelino,

      Buena pregunta la que haces ya que, hasta donde yo sé no se permite la creación manual de estas credenciales. Sinceramente no sé como resolverte esta cuestión.

      Como alternativa a la gestión de contraseñas para los sitios web tienes las aplicaciones del tipo KeePass o 1Password. Personalmente utilizo KeePass con la automatización del proceso de login mediante la combinación Control+Alt+A (sin guardar nunca la contraseña en los navegadores). Des esta forma, a parte de tener las contraseñas a buen recaudo, las puedo utilizar en todos los navegadores.

      Saludos,

       
  4. Hola
    Cuando guardo una credencial, en el administrador de credenciales indica Persistencia: Inicio de sesion, lo que provoca que al cerrar sesion, la credencial desaparece. Si la credencial tiene Persistencia: Empresa, la credencia se mantiene al cerrar sesion.
    ¿Sabes por que ocurre esto?

    Un saludo y gracias por todo

     
    1. El comportamiento es el esperado. El Empresa es el que se mantiene. Hay casos en que puedes aplicar políticas al equipo para impedir que se guarden credenciales. También ocurre cuando estableces la credencial y no marcas la casilla de guardar, en estos casos al cerrar la sesión se pierden.

       

Deixar un comentari

Recorda que no es contestaran preguntes personals, només d´interés comú que ens enriqueixin a tots.
La teva adreça de correu electrònic no serà publicada. Els camps obligatoris estan indicats.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.